picasso

Fix wykonany. Nie wszystkie wyniki AdwCleaner są OK - wykrył w profilach Firefox / Pale Moon poprawne nieszkodliwe rozszerzenie Eliminator Slajdów. 1. W AdwCleaner uruchom Szukaj, w karcie Files odznacz dwie pozycje Eliminatora Slajdów = jid0-GaZOxvWNYcafEsmayJDIG3XXVi8@jetpack.xpi, dopiero po tym wybierz Usuń. Gdy program ukończy czyszczenie: 2. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Users\dom\AppData\Roaming\Mozilla\Firefox\Profiles\yee9564c.default RemoveDirectory: C:\Users\dom\Desktop\Old Pale Moon Data Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt. 3. Uruchom Hitman Pro i podaj wyniki skanu.

1. Uruchom AdwCleaner ponownie, wybierz sekwencję Szukaj + Usuń. Gdy ukończy się czyszczenie: 2. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż fixlog.txt. 3. Wykonaj skan za pomocą Hitman Pro i dostarcz wynikowy raport.

Jaką przeglądarką się posługujesz przeklejając treść z posta do Notatnika? 1. Odinstaluj zadane pozycje Adobe + Java, zainstaluj najnowsze. 2. Ucięło mi "procenty". Drobny poprawkowy skrypt do FRST: RemoveDirectory: C:\Documents and Settings\Andrzej Dratwa\Pulpit\FRST-OlderVersion CMD: del /q "%USERPROFILE%\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Vuze.lnk" CMD: del /q "%USERPROFILE%\Dane aplikacji\Microsoft\Office\Niedawny\*.LNK" CMD: del /q "%USERPROFILE%\Pulpit\PROGRAMY\Odkurzacz.lnk" CMD: del /q "%USERPROFILE%\Pulpit\PROGRAMY\Szybkie Czyszczenie Dysku.lnk" CMD: del /q "%USERPROFILE%\Ustawienia lokalne\Dane aplikacji\SocialSafe-Helper.log" CMD: del /q "%USERPROFILE%\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Preferences" EmptyTemp: Plik zapisz pod nazwą fixlist.txt > uruchom Fix w FRST > nastąpi restart i powstaje kolejny fixlog.txt. 3. Zrób nowy log FRST (bez Addition i Shortcut). Dołącz fixlog.txt.

Firmware zaktualizowane, urządzenie skonfigurowane i test pomyślnie przechodzi. Nie widzę tu nic więcej do roboty w zakresie routera na dzień dzisiejszy. Winą były przekierowania DNS wykonywane na poziomie routera. Identyczny hijack był w tym temacie, notabene ten sam model routera (firma go wycofała): KLIK. Skrypt wykonany. Na koniec: 1. Usuń folder C:\Windows\erdnt z kopią rejestru utworzoą przez ComboFix. 2. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

Ostatni Fix wykonany pomyślnie. Teraz uruchom AdwCleaner. Wybierz tylko opcję Szukaj (nie używaj jeszcze Usuń) i dostarcz wynikowy log z folderu C:\AdwCleaner.

Proszę bez podbijania tematów. Odpowiedź nadchodzi gdy ktoś jest obecny, ma czas i pomysł przetworzyć temat. To nie jest problem, jeśli możesz się dostać do tych folderów / plików. Kłódka oznacza specyficzne uprawnienia obiektu, tzn. że określone grupy użytkowników nie mają dostępu. Folder nie jest dostępny ogólnie dla całej grupy "Użytkownicy" (Twoje konto częściowo należy do niej), "Wszyscy", "Użytkownicy uwierzytelnieni" lub "HomeUsers". Kłódka znika, gdy jedna z tych grup otrzyma conajmniej Odczyt. Reprofiler wykonywał reset uprawnień przy udziale SetACL - prawdopodobnie przypisał w uprawnieniach tylko Twoje konto (a nie Twoje konto + grupa Użytkownicy), stąd te kłódki. - Jeśli tak strasznie zależy Ci na pozbyciu się kłódek z tych obiektów na których ich wcześniej nie było, prawoklik na dany obiekt > Właściwości > karta Zabezpieczenia > Dodaj > wprowadź grupę Użytkownicy > zaznacz stosowne uprawnienia. - W systemie są jednak niektóre obszary standardowo tak skonfigurowane i nie należy tego zmieniać, np. w widoku C:\Users kłódki wiszą na folderach: All Users, Default User (matryca zakładania nowych kont), Twoje konto. Prawie wszystko z poprzednich zadań wykonane i wadliwe urządzenia poznikały. Aczkolwiek mam pewne wątpliwości czy Twoje konto jest sprawne po przekierowaniu - Dziennik zdarzeń ma nowe rekordy o tej samej treści co poprzednio. Czy na pewno nie ma tu żadnych nowych problemów z ładowaniem konta? Application errors: ================== Error: (02/17/2015 06:03:06 PM) (Source: Microsoft-Windows-User Profiles Service) (EventID: 1505) (User: Solskier-PC) Description: Windows cannot load the user's profile but has logged you on with the default profile for the system. DETAIL - Access is denied. Kolejne działania: 1. Nadal nie zostały odinstalowane PUPy AVG Security Toolbar + Vuze_Remote Toolbar - czy jest jakiś problem z tą operacją? Dodatkowo, z pakietu Windows Live Essentials odinstaluj składnik Messengera (on już nie działa, zastąpił go Skype), albo usuń pakiet w całości. 2. W Google Chrome: Ustawienia > karta Rozszerzenia > odinstaluj sponsoringową wstawkę Avast SafePrice. 3. Otwórz Notatnik i wklej w nim: S3 Symantec Core LC; C:\PROGRA~1\COMMON~1\SYMANT~1\CCPD-LC\symlcsvc.exe [X] Toolbar: HKLM - No Name - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No File CHR HKLM\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChromeSp.crx [2015-01-31] C:\Users\Solskier\AppData\Loca C:\Users\Solskier\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\YouTube Downloader C:\Users\Solskier\AppData\Roaming\Gadu-Gadu 10 C:\Users\Solskier\AppData\Roaming\OpenFM RemoveDirectory: C:\Users\Guest RemoveDirectory: C:\Users\TEMP RemoveDirectory: C:\Users\Solskier\Desktop\Stare dane programu Firefox RemoveDirectory: C:\Windows\system32\cache Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt.

Nie widzę potrzeby prowadzenia tak drastycznych działań. Kilka uwag: - To czym się obecnie zajmujemy to dość błahe sprawy. - Jest tu archaiczny system XP pozbawiony wsparcia: KLIK. Jeśli wymiana systemu, to na nowoczesną platformę a nie to próchno. - To na dodatek modyfikowany kastrat, nie jest to oryginał. Widać to po wielu śladach i niedomyślnych ustawieniach. - Reinstalacja XP wymaga szczególnych środków odstrożności: KLIK. Problem instalacji robaków już podczas instalacji systemu nie dotyczy nowych platform. Ale jeśli na to się zdecydujesz, to daj mi znać, gdyż dalsze czyszczenie jest bezcelowe.

Prawie wszystko usunięte, z wyjątkiem sterownika WinDivert (Windows Packet Divert), który wygląda na doinstalowany w grupie adware. Poprawka: Otwórz Notatnik i wklej w nim: CloseProcesses: R2 WinDivert64; C:\Windows\system32\drivers\WinDivert64.sys [35376 2013-12-03] (Basil Projects) C:\Windows\system32\drivers\WinDivert64.sys RemoveDirectory: C:\Users\Mateusz\Desktop\Stare dane programu Firefox RemoveDirectory: C:\Users\Tomek\Desktop\Stare dane programu Firefox Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart i powstanie kolejny fixlog.txt. Wypowiedz się czy są jeszcze jakieś problemy.

OK, tylko drobna poprawka do załadowania. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\Users\jarosław\Desktop\Stare dane programu Firefox RemoveDirectory: C:\Users\jarosław\Downloads\FRST-OlderVersion SearchScopes: HKU\S-1-5-21-2397908092-2257794209-2186997661-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy plik fixlog.txt.

Tak ma być. Cytuję co napisałam:

W systemie zagnieździło się niepożądane oprogramowanie Mintcastnetworks i The Forest Public Alpha v0.13b-3DM, w Firefox jest też adware youtubeadblocker i UniDeaalsi. Operacje do przeprowadzenia: NA KONCIE TOMEK: 1. Przez Panel sterowania odinstaluj adware Mintcastnetworks-bogard 1.0.0.0 oraz stare wersje Java 7 Update 67, Java 8 Update 25. 2. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj / Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {BEE4C195-30B4-4256-90E7-920DF2095621} - System32\Tasks\{3DC2FB3F-AF21-4641-9130-6EC2F35F6BC3} => pcalua.exe -a C:\Users\Tomek\AppData\Roaming\mystartsearch\UninstallManager.exe -c -ptid=smt HKLM-x32\...\Run: [Andy] => C:\Program Files\Andy\HandyAndy.exe Startup: C:\Users\Mateusz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\The Forest Public Alpha v0.13b-3DM.lnk CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\S-1-5-21-606281877-1479866930-3929170589-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank FF Plugin: @esn/npbattlelog,version=2.5.1 -> C:\Program Files (x86)\Battlelog Web Plugins\2.5.1\npbattlelogx64.dll No File FF Plugin-x32: @esn/npbattlelog,version=2.5.1 -> C:\Program Files (x86)\Battlelog Web Plugins\2.5.1\npbattlelog.dll No File S1 BAPIDRV; system32\DRIVERS\BAPIDRV64.sys [X] S2 sbapifs; system32\DRIVERS\sbapifs.sys [X] S3 xhunter1; \??\C:\Windows\xhunter1.sys [X] C:\Program Files\Mintcastnetworks-bogard C:\Program Files (x86)\Opera C:\Program Files (x86)\UniDeaalsi C:\ProgramData\{38725ec5-0ad6-62fe-3872-25ec50ad7b14} C:\ProgramData\837574326449480470 C:\Users\Mateusz\AppData\Local\Opera Software C:\Users\Mateusz\AppData\Roaming\cpuminer C:\Users\Mateusz\AppData\Roaming\Opera Software C:\Users\Mateusz\Downloads\*(*)-dp*.exe Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\mystartsearch uninstall" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. NA KONCIE MATEUSZ: 1. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj / Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. 2. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut).

Nie ma tu żadnych oznak infekcji tego rodzaju. Wstępnie, nie sądzę, że tu chodzi o infekcję w Twoim systemie, lecz o problem sieci w której jesteś, tzn. jedno z dwóch: - W sieci jest jeden zewnętrzy IP pod którym wychodzi cała gromada użytkowników (mają wewnętrzne IP), infekcja jest na jednym z komputerów, ale będąc widocznym pod jednym wspólnym IP dostaje się wszystkim którzy są pod nim widziani. - Losowo został przydzielony wprawdzie adres puli publicznej, ale adres ten był już w użyciu (inny komputer zbanowany). Rozwiązanie: zmiana IP. Widzę Cię na forum pod IP UPC: 83.144.83.102. To IP nie jest unikatowe, szukanie na Google zwraca pewne wyniki użytkowników postujących na forach, co wskazuje, że to współdzielone lub "ponownie użyte" IP. W teorii UPC niby przyznaje adresy publiczne (KLIK), ale były incydenty z przyznaniem prywatnych (KLIK). Temat przenoszę na konsultację do działu Sieci. Materiały wymagane działem: KLIK. Przy okazji, w Firefox jest ustawiona autodetekcja proxy zamiast połączenia bezpośredniego: FF NetworkProxy: "type", 4

Sa pewne kluczowe usługi których nie można konfigurować, a Harmonogram jest jedną z nich. Nie wiadomo co wyłączyło u Ciebie usługę. Reaktywacja usługi: Do Notatnika wklej: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Schedule] "Start"=dword:00000002 Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru. Zresetuj system.

Za późno zedytowałam (ujęcie w cudzysłów). Przepuść jeszcze Fix o takiej zawartości: Reg: reg query "HKLM\SOFTWARE\Classes\MIME\Database\Content Type\image/bmp" /s Reg: reg query "HKLM\SOFTWARE\Classes\MIME\Database\Content Type\image/gif" /s Reg: reg query "HKLM\SOFTWARE\Classes\MIME\Database\Content Type\image/jpeg" /s Reg: reg query "HKLM\SOFTWARE\Classes\MIME\Database\Content Type\image/png" /s

Fix FRST uruchomiłeś więcej niż raz, to jest Fix jednorazowego użytku i nie przetworzy ponownie tych samych wejść. W AdwCleaner uruchom sekwencję Szukaj + Usuń. Skoro problem jest niezależny od konta, usterka jest globalna. Nasuwa się trop uszkodzonych rejestracji rozszerzeń plików graficznych. Podaj więcej danych - do Notatnika wklej: Reg: reg query HKLM\SOFTWARE\Classes\.bmp /s Reg: reg query HKLM\SOFTWARE\Classes\.gif /s Reg: reg query HKLM\SOFTWARE\Classes\.jpe /s Reg: reg query HKLM\SOFTWARE\Classes\.jpeg /s Reg: reg query HKLM\SOFTWARE\Classes\.jpg /s Reg: reg query HKLM\SOFTWARE\Classes\.png /s Reg: reg query HKLM\SOFTWARE\Classes\CLSID\{098f2470-bae0-11cd-b579-08002b30bfeb} /s Reg: reg query HKLM\SOFTWARE\Classes\CLSID\{25336920-03F9-11CF-8FD0-00AA00686F13} /s Reg: reg query HKLM\SOFTWARE\Classes\CLSID\{607fd4e8-0a03-11d1-ab1d-00c04fc9b304} /s Reg: reg query HKLM\SOFTWARE\Classes\CLSID\{A3CCEDF7-2DE2-11D0-86F4-00A0C913F750} /s Reg: reg query "HKLM\SOFTWARE\Classes\MIME\Database\Content Type\image/bmp" /s Reg: reg query "HKLM\SOFTWARE\Classes\MIME\Database\Content Type\image/gif" /s Reg: reg query "HKLM\SOFTWARE\Classes\MIME\Database\Content Type\image/jpeg" /s Reg: reg query "HKLM\SOFTWARE\Classes\MIME\Database\Content Type\image/png" /s Reg: reg query HKLM\SOFTWARE\Classes\giffile /s Reg: reg query HKLM\SOFTWARE\Classes\jpegfile /s Reg: reg query HKLM\SOFTWARE\Classes\pngfile /s Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.

Zappa, jeśli tylko tego brakuje, to plik możesz utworzyć. Zapisz poniższą treść jako Config.xml: <?xml version="1.0"?> <services refresh="60"> <service name="weather"> <operation interval="30"/> <languages> <lang> ar-ae </lang> <lang> ar-bh </lang> <lang> ar-dz </lang> <lang> ar-eg </lang> <lang> ar-iq </lang> <lang> ar-jo </lang> <lang> ar-kw </lang> <lang> ar-lb </lang> <lang> ar-ly </lang> <lang> ar-ma </lang> <lang> arn-CL </lang> <lang> ar-om </lang> <lang> ar-qa </lang> <lang> ar-sa </lang> <lang> ar-SY </lang> <lang> ar-tn </lang> <lang> ar-ye </lang> <lang> az-AZ </lang> <lang> bs-BA </lang> <lang> cs-CZ </lang> <lang> cy-GB </lang> <lang> da-DK </lang> <lang> de-AT </lang> <lang> de-CH </lang> <lang> de-DE </lang> <lang> de-LI </lang> <lang> de-LU </lang> <lang> dsb-DE </lang> <lang> el-GR </lang> <lang> en-AU </lang> <lang> en-CA </lang> <lang> en-GB </lang> <lang> en-IE </lang> <lang> en-IN </lang> <lang> en-MY </lang> <lang> en-NZ </lang> <lang> en-PH </lang> <lang> en-SG </lang> <lang> en-US </lang> <lang> en-ZA </lang> <lang> es-AR </lang> <lang> es-BO </lang> <lang> es-CL </lang> <lang> es-CO </lang> <lang> es-CR </lang> <lang> es-DO </lang> <lang> es-EC </lang> <lang> es-ES </lang> <lang> es-GT </lang> <lang> es-HN </lang> <lang> es-MX </lang> <lang> es-NI </lang> <lang> es-PA </lang> <lang> es-PE </lang> <lang> es-PR </lang> <lang> es-PY </lang> <lang> es-SV </lang> <lang> es-US </lang> <lang> es-VE </lang> <lang> et-EE </lang> <lang> fi-FI </lang> <lang> fil-PH </lang> <lang> fo-FO </lang> <lang> fr-BE </lang> <lang> fr-CA </lang> <lang> fr-CH </lang> <lang> fr-FR </lang> <lang> fr-LU </lang> <lang> fr-MC </lang> <lang> fy-NL </lang> <lang> ga-IE </lang> <lang> he-IL </lang> <lang> hi-IN </lang> <lang> hr-HR </lang> <lang> hu-HU </lang> <lang> id-ID </lang> <lang> is-IS </lang> <lang> it-CH </lang> <lang> it-IT </lang> <lang> iu-CA </lang> <lang> ja-JP </lang> <lang> kl-GL </lang> <lang> lb-LU </lang> <lang> lt-LT </lang> <lang> lv-LV </lang> <lang> mi-NZ </lang> <lang> nb-NO </lang> <lang> nl-BE </lang> <lang> nl-NL </lang> <lang> nn-NO </lang> <lang> pl-PL </lang> <lang> pt-BR </lang> <lang> pt-PT </lang> <lang> qut-GT </lang> <lang> quz-BO </lang> <lang> quz-EC </lang> <lang> quz-PE </lang> <lang> rm-CH </lang> <lang> ro-RO </lang> <lang> ru-RU </lang> <lang> se-FI </lang> <lang> se-NO </lang> <lang> se-SE </lang> <lang> sk-SK </lang> <lang> sl-SI </lang> <lang> sma-NO </lang> <lang> sma-SE </lang> <lang> smj-NO </lang> <lang> smj-SE </lang> <lang> smn-FI </lang> <lang> sms-FI </lang> <lang> sr-CS </lang> <lang> sv-SE </lang> <lang> th-TH </lang> <lang> tr-TR </lang> <lang> uk-UA </lang> <lang> ur-PK </lang> <lang> wen-DE </lang> <lang> zh-SG </lang> </languages> </service> <service name="stocks"> <operation interval="15"/> </service> <service name="currency"> <operation interval="30"/> </service> </services>

Zaczynamy od czyszczenia, format zawsze można przeprowadzić przy braku zadawalających rezultatów. Problem ze sterownikami grafiki prawdopodobnie wynika z obecności konfliktowych sterowników adware - jest aż 13 (!) takich sterowników ładowanych. Dodatkowo: cała przeglądarka Google Chrome musi zostać przeinstalowana od zera, adware ją przekonwertowało z wersji stabilnej do developerskiej. Akcja: 1. Przez Panel sterowania odinstaluj: - Adware: Hold Page, Internet Speed Checker, RandomDealApp, Remote Desktop Access (VuuPC), sweet-page uninstall, WindowsMangerProtect20.0.0.1277, WSE_Vosteran. - Zbędniki i poszkodowaną przeglądarkę: Adobe Shockwave Player 12.1, DriverEasy 3.11.3, Google Chrome, NVIDIA ForceWare Network Access Manager, SpyHunter, SpyHunter 4. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R1 {078ad437-dc9f-4228-9edb-b3d1c0246ff8}Gw64; C:\Windows\System32\drivers\{078ad437-dc9f-4228-9edb-b3d1c0246ff8}Gw64.sys [48784 2014-12-09] (StdLib) R1 {27899312-155f-40f3-8661-fb6675d82b4b}Gw64; C:\Windows\System32\drivers\{27899312-155f-40f3-8661-fb6675d82b4b}Gw64.sys [48784 2014-12-21] (StdLib) R1 {2bf1e193-df72-4e3c-9f15-d1dc6e2f810f}Gw64; C:\Windows\System32\drivers\{2bf1e193-df72-4e3c-9f15-d1dc6e2f810f}Gw64.sys [48784 2014-12-07] (StdLib) R1 {40d1e549-9fca-4f25-a19d-d845842dd635}Gw64; C:\Windows\System32\drivers\{40d1e549-9fca-4f25-a19d-d845842dd635}Gw64.sys [48784 2014-12-31] (StdLib) R1 {507a9b68-2b48-4a22-b662-e674fb6a16f7}Gw64; C:\Windows\System32\drivers\{507a9b68-2b48-4a22-b662-e674fb6a16f7}Gw64.sys [48776 2014-12-05] (StdLib) R1 {84edc66f-0e16-4519-bd1a-cead01f243ac}Gw64; C:\Windows\System32\drivers\{84edc66f-0e16-4519-bd1a-cead01f243ac}Gw64.sys [48784 2015-01-04] (StdLib) R1 {91975f83-f39c-43cf-aad4-0b3396b0f6db}Gw64; C:\Windows\System32\drivers\{91975f83-f39c-43cf-aad4-0b3396b0f6db}Gw64.sys [48784 2015-01-05] (StdLib) R1 {a16a1775-5ab3-4034-ac52-de0795db97f0}Gw64; C:\Windows\System32\drivers\{a16a1775-5ab3-4034-ac52-de0795db97f0}Gw64.sys [48784 2014-12-13] (StdLib) R1 {c88279d3-91dd-4bd9-ad38-681f71d6e36d}Gw64; C:\Windows\System32\drivers\{c88279d3-91dd-4bd9-ad38-681f71d6e36d}Gw64.sys [48784 2014-12-27] (StdLib) R1 {ca4e7e4c-3ebf-4428-bf75-cc138b7061f1}Gw64; C:\Windows\System32\drivers\{ca4e7e4c-3ebf-4428-bf75-cc138b7061f1}Gw64.sys [48784 2014-12-25] (StdLib) R1 {df47b99d-26f5-45f4-85c5-97b4da365f21}Gw64; C:\Windows\System32\drivers\{df47b99d-26f5-45f4-85c5-97b4da365f21}Gw64.sys [48776 2014-11-29] (StdLib) R1 {f2f2c4d5-f6ac-4c21-8cea-257783669e49}Gw64; C:\Windows\System32\drivers\{f2f2c4d5-f6ac-4c21-8cea-257783669e49}Gw64.sys [48776 2014-11-28] (StdLib) R1 {fb92e7a9-ee13-44c3-a51b-600382fe9211}Gw64; C:\Windows\System32\drivers\{fb92e7a9-ee13-44c3-a51b-600382fe9211}Gw64.sys [48784 2014-12-18] (StdLib) S2 51cdb72; "C:\Windows\system32\rundll32.exe" "c:\Program Files (x86)\Optimizer Pro 3.11\OptProCrash.dll",ENT Task: {20D97CD1-A735-41C7-B0B2-4B95F8811BEA} - System32\Tasks\{8B0ADA23-6339-4A92-BA17-8BD048CC3740} => pcalua.exe -a C:\PROGRA~2\SearchProtect\Main\bin\uninstall.exe -c /S Task: {2881B310-63B1-4578-9210-8E6329411CE3} - System32\Tasks\{6540ED2A-C93A-41D0-B771-3AAF5B282D0D} => pcalua.exe -a "C:\Users\kubos\Downloads\Nero Free 9.4.12.3d [1].exe" -d C:\Users\kubos\Downloads Task: {31F970C7-95CA-42D8-B4DB-382BC87E7E51} - System32\Tasks\fc6a064f-a2dd-4cc3-9a73-369f24d55904 => C:\Program Files (x86)\Internet Speed Checker\fc6a064f-a2dd-4cc3-9a73-369f24d55904.exe Task: {42501103-E946-4E04-81B4-8D5AD39D48AA} - System32\Tasks\abcbc285-3637-41b2-832a-af47b6df0881-5_user => C:\Program Files (x86)\Internet Speed Checker\abcbc285-3637-41b2-832a-af47b6df0881-5.exe Task: {6516DC79-98C6-4D96-BFE9-BD862D139235} - System32\Tasks\abcbc285-3637-41b2-832a-af47b6df0881-11 => C:\Program Files (x86)\Internet Speed Checker\abcbc285-3637-41b2-832a-af47b6df0881-11.exe Task: {6569D626-D40F-4525-8673-8ABEB0BAD5D9} - System32\Tasks\LaunchSignup => C:\Program Files (x86)\MyPC Backup\Signup Wizard.exe Task: {8B441A5E-CFFD-4911-8036-1F5134295F86} - System32\Tasks\abcbc285-3637-41b2-832a-af47b6df0881-1 => C:\Program Files (x86)\Internet Speed Checker\Internet Speed Checker-codedownloader.exe Task: {939C71BB-234E-4F60-9F58-C4B129EAA116} - System32\Tasks\abcbc285-3637-41b2-832a-af47b6df0881-6 => C:\Program Files (x86)\Internet Speed Checker\abcbc285-3637-41b2-832a-af47b6df0881-6.exe Task: {97D052A8-3A56-49A6-8271-E6DBA4BC0F24} - System32\Tasks\globalUpdateUpdateTaskMachineCore => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe Task: {AE4FCE2A-A072-4540-84E2-676C2D494006} - System32\Tasks\WSE_Vosteran => C:\Users\kubos\AppData\Roaming\WSE_VO~1\UPDATE~1\UPDATE~1.EXE Task: {B5795390-4024-4ADB-B06D-2C2DC60A3422} - System32\Tasks\abcbc285-3637-41b2-832a-af47b6df0881-7 => C:\Program Files (x86)\Internet Speed Checker\abcbc285-3637-41b2-832a-af47b6df0881-7.exe Task: {BE1350EB-A9BF-4A46-9B1D-BFFD817DE58F} - System32\Tasks\globalUpdateUpdateTaskMachineUA => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe Task: {D7AB393A-9F53-4225-92BF-5E3DCCC9E9DC} - System32\Tasks\abcbc285-3637-41b2-832a-af47b6df0881-4 => C:\Program Files (x86)\Internet Speed Checker\abcbc285-3637-41b2-832a-af47b6df0881-4.exe Task: {DE514776-EE0F-439D-9774-92F70F5D32CE} - System32\Tasks\abcbc285-3637-41b2-832a-af47b6df0881-5 => C:\Program Files (x86)\Internet Speed Checker\abcbc285-3637-41b2-832a-af47b6df0881-5.exe Task: {FD1608F1-C577-4570-BABF-47F4B4D51FD5} - System32\Tasks\9472bf32-801e-4380-a93a-312d3363a0e3 => C:\Program Files (x86)\Internet Speed Checker\9472bf32-801e-4380-a93a-312d3363a0e3.exe Task: C:\Windows\Tasks\9472bf32-801e-4380-a93a-312d3363a0e3.job => C:\Program Files (x86)\Internet Speed Checker\9472bf32-801e-4380-a93a-312d3363a0e3.exe Task: C:\Windows\Tasks\abcbc285-3637-41b2-832a-af47b6df0881-1.job => C:\Program Files (x86)\Internet Speed Checker\Internet Speed Checker-codedownloader.exe Task: C:\Windows\Tasks\abcbc285-3637-41b2-832a-af47b6df0881-11.job => C:\Program Files (x86)\Internet Speed Checker\abcbc285-3637-41b2-832a-af47b6df0881-11.exe Task: C:\Windows\Tasks\abcbc285-3637-41b2-832a-af47b6df0881-4.job => C:\Program Files (x86)\Internet Speed Checker\abcbc285-3637-41b2-832a-af47b6df0881-4.exe Task: C:\Windows\Tasks\abcbc285-3637-41b2-832a-af47b6df0881-5.job => C:\Program Files (x86)\Internet Speed Checker\abcbc285-3637-41b2-832a-af47b6df0881-5.exe Task: C:\Windows\Tasks\abcbc285-3637-41b2-832a-af47b6df0881-5_user.job => C:\Program Files (x86)\Internet Speed Checker\abcbc285-3637-41b2-832a-af47b6df0881-5.exe Task: C:\Windows\Tasks\abcbc285-3637-41b2-832a-af47b6df0881-6.job => C:\Program Files (x86)\Internet Speed Checker\abcbc285-3637-41b2-832a-af47b6df0881-6.exe Task: C:\Windows\Tasks\abcbc285-3637-41b2-832a-af47b6df0881-7.job => C:\Program Files (x86)\Internet Speed Checker\abcbc285-3637-41b2-832a-af47b6df0881-7.exe Task: C:\Windows\Tasks\fc6a064f-a2dd-4cc3-9a73-369f24d55904.job => C:\Program Files (x86)\Internet Speed Checker\fc6a064f-a2dd-4cc3-9a73-369f24d55904.exe/agentregpath='Internet Speed Checker' /appid=61752 /srcid='001726' /subid='0' /zdata='0' /bic=0F0585D1A52C44C2B41A5CE792074BC2IE /verifier=9e3f5c19e8c89e01b16a0281ad9e9ad1 /installerversion=1_35_09_29 /installationtime=1416664547 /statsdomain=http://stats.newonlinedemoserv.com /errorsdomain=http://errors.newonlinedemoserv.com /extensionname='Information' /torpedoiesleeps=1000 /torpedoieplugins=93-0,102-0,104-0,178-288,179-288,180-288,223-288,263-24 /monetizationdomain=http://logs.newonlinedemoserv.com HKU\S-1-5-18\...\Run: [DevconDefaultDB] => C:\Windows\system32\READREG /SILENT /FAIL=1 AppInit_DLLs-x32: _c:\progra~2\search~1\search~1\bin\vc32lo~1.dll => "c:\progra~2\search~1\search~1\bin\vc32lo~1.dll" File Not Found ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.com/?pc=MSSE HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.com/?pc=MSSE HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com HKU\S-1-5-21-1364691054-2715564713-2932916954-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.com/?pc=MSSE HKU\S-1-5-21-1364691054-2715564713-2932916954-1000\Software\Microsoft\Internet Explorer\Main,First Home Page = http://go.microsoft.com/fwlink/?LinkID=226786&Mkt=pl-PL&Src=MSE&Tid=00032955&OHP=http%3A%2F%2FVosteran.com%2F%3Ff%3D1%26a%3Dvst_aw_14_48_ie%26cd%3D2XzuyEtN2Y1L1QzutDtDtD0F0E0AyD0Czz0AzyzytAyByC0FtN0D0Tzu0StCtDyCyEtN1L2XzutAtFyCtFyCtFtDtN1L1Czu0C0I0S0V0E0R1V1BtN1L1G1B1V1N2Y1L1Qzu2SyCyEtBtCtAyCtBzytGtAtA0C0FtGtCzz0F0BtG0ByDtB0AtGtA0EtAtDyBtBtCtDzz0Czz0C2QtN1M1F1B2Z1V1N2Y1L1Qzu2StDzyyC0B0EzytAzztGtDtCtCtBtGyE0B0DtAtG0AyBtC0CtG0C0B0CyB0B0FzztDtA0AtA0B2Q%26cr%3D112183739%26ir%3D&OSP=http%3A%2F%2FVosteran.com%2Fresults.php%3Ff%3D4%26q%3D{searchTerms}%26a%3Dvst_aw_14_48_ie%26cd%3D2XzuyEtN2Y1L1QzutDtDtD0F0E0AyD0Czz0AzyzytAyByC0FtN0D0Tzu0StCtDyCyEtN1L2XzutAtFyCtFyCtFtDtN1L1Czu0C0I0S0V0E0R1V1BtN1L1G1B1V1N2Y1L1Qzu2SyCyEtBtCtAyCtBzytGtAtA0C0FtGtCzz0F0BtG0ByDtB0AtGtA0EtAtDyBtBtCtDzz0Czz0C2QtN1M1F1B2Z1V1N2Y1L1Qzu2StDzyyC0B0EzytAzztGtDtCtCtBtGyE0B0DtAtG0AyBtC0CtG0C0B0CyB0B0FzztDtA0AtA0B2Q%26cr%3D112183739%26ir%3D SearchScopes: HKLM -> {DC91FAFB-6CEA-49E5-BB74-9CEE75D09B77} URL = SearchScopes: HKU\S-1-5-21-1364691054-2715564713-2932916954-1000 -> DefaultScope {014DB5FA-EAFB-4592-A95B-F44D3EE87FA9} URL = SearchScopes: HKU\S-1-5-21-1364691054-2715564713-2932916954-1000 -> {DC91FAFB-6CEA-49E5-BB74-9CEE75D09B77} URL = BHO-x32: Hold Page 1.0.0.7 -> {6c14185e-4de6-4a79-985b-19f23fd1e638} -> C:\Program Files (x86)\Hold Page\HoldPageBHO.dll No File BHO-x32: ruealdEal -> {914eceaa-4582-4925-891d-1b356511fc4f} -> C:\Program Files (x86)\ruealdEal\oR4mmrqaUf7kxy.dll No File BHO-x32: sAvinngttoYooU -> {a5a20214-55dc-484d-8d8e-fd236e9bfd85} -> C:\Program Files (x86)\sAvinngttoYooU\u49bid3w2SzBJI.dll No File FF Plugin-x32: @nvidia.com/3DVision -> C:\Program Files (x86)\NVIDIA Corporation\3D Vision\npnv3dv.dll No File FF Plugin-x32: @nvidia.com/3DVisionStreaming -> C:\Program Files (x86)\NVIDIA Corporation\3D Vision\npnv3dvstreaming.dll No File C:\Program Files (x86)\02b93d75-5ec8-462c-851f-5d91d227cd32 C:\Program Files (x86)\BocaInit C:\Program Files (x86)\dealsterr C:\Program Files (x86)\GeoSurf C:\Program Files (x86)\Google C:\Program Files (x86)\ruealdEal C:\Program Files (x86)\saViNesuhop C:\Program Files (x86)\savingtoyoouu C:\Program Files (x86)\sAvinngttoYooU C:\ProgramData\11127976247202785533 C:\ProgramData\600440862 C:\ProgramData\AVAST Software C:\ProgramData\RandomDealApp C:\Users\kubos\AppData\Local\Kosong.Bron.Tok.txt C:\Users\kubos\AppData\Local\Google C:\Users\kubos\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Play Games Online.url C:\Users\kubos\Desktop\Play Games Online.url C:\Windows\46B04D534E344388B6EE80FAB66AEF9B.TMP C:\Windows\system32\2015-*.log C:\Windows\System32\drivers\{078ad437-dc9f-4228-9edb-b3d1c0246ff8}Gw64.sys C:\Windows\System32\drivers\{27899312-155f-40f3-8661-fb6675d82b4b}Gw64.sys C:\Windows\System32\drivers\{2bf1e193-df72-4e3c-9f15-d1dc6e2f810f}Gw64.sys C:\Windows\System32\drivers\{40d1e549-9fca-4f25-a19d-d845842dd635}Gw64.sys C:\Windows\System32\drivers\{507a9b68-2b48-4a22-b662-e674fb6a16f7}Gw64.sys C:\Windows\System32\drivers\{84edc66f-0e16-4519-bd1a-cead01f243ac}Gw64.sys C:\Windows\System32\drivers\{91975f83-f39c-43cf-aad4-0b3396b0f6db}Gw64.sys C:\Windows\System32\drivers\{a16a1775-5ab3-4034-ac52-de0795db97f0}Gw64.sys C:\Windows\System32\drivers\{c88279d3-91dd-4bd9-ad38-681f71d6e36d}Gw64.sys C:\Windows\System32\drivers\{ca4e7e4c-3ebf-4428-bf75-cc138b7061f1}Gw64.sys C:\Windows\System32\drivers\{df47b99d-26f5-45f4-85c5-97b4da365f21}Gw64.sys C:\Windows\System32\drivers\{f2f2c4d5-f6ac-4c21-8cea-257783669e49}Gw64.sys C:\Windows\System32\drivers\{fb92e7a9-ee13-44c3-a51b-600382fe9211}Gw64.sys Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a "C:\Program Files\Common Files" CMD: dir /a "C:\Program Files (x86)\Common Files" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\kubos\AppData\Local CMD: dir /a C:\Users\kubos\AppData\LocalLow CMD: dir /a C:\Users\kubos\AppData\Roaming EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj / Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. 4. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition. Dołącz też plik fixlog.txt. Wypowiedz się czy notujesz problemy.

Coś mi się wydaje, że postąpiłeś inaczej niż podałam, bo Hitman nie miał być używany do usuwania. Wyniki skryptu FRST: nie znalazł ani jednego obiektu wskazywanego przez Hitman. Wyniki AdwCleaner: 1. Zgłasza zastrzeżenie do rozszerzenia Speed Dial 2 zamontowanego w Google Chrome. Na wszelki wypadek odinstaluj w opcjach Google Chrome. Dopiero po przeprowadzeniu tego: 2. Uruchom ponownie AdwCleaner i zastosuj sekwencję Szukaj + Usuń.

Brakuje trzeciego obowiązkowego pliku FRST Shortcut. Działania wstępne: KOMPUTER 1: Straszliwie zaśmiecony adware. Do przeprowadzenia: 1. Przez Panel sterowania odinstaluj adware/PUP: 337 GAMES, Linkey, Optimizer Pro v3.2, Settings Manager, SiteFinder, sweet-page uninstaller, Tiny Download Manager (remove only), webporpoise, WildWestCoupon, Yahoo! Search. Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście szczątek Google Update Helper > Dalej 2. Otwórz Notatnik i wklej w nim: CreateRestorePoint: GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.gboxapp.com/?aff=p HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://search.gboxapp.com/?aff=p HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1396849159&from=sof&uid=TOSHIBAXMQ01ABD050_63HMT2NJTXX63HMT2NJT&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1396849159&from=sof&uid=TOSHIBAXMQ01ABD050_63HMT2NJTXX63HMT2NJT&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.sweet-page.com/?type=hp&ts=1396849159&from=sof&uid=TOSHIBAXMQ01ABD050_63HMT2NJTXX63HMT2NJT HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.sweet-page.com/?type=hp&ts=1396849159&from=sof&uid=TOSHIBAXMQ01ABD050_63HMT2NJTXX63HMT2NJT HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1396849159&from=sof&uid=TOSHIBAXMQ01ABD050_63HMT2NJTXX63HMT2NJT&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1396849159&from=sof&uid=TOSHIBAXMQ01ABD050_63HMT2NJTXX63HMT2NJT&q={searchTerms} HKU\S-1-5-21-444939835-3135395253-820421808-1001\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.delta-homes.com/web/?type=ds&ts=1402574899&from=wpm0612&uid=TOSHIBAXMQ01ABD050_63HMT2NJTXX63HMT2NJT&q={searchTerms} HKU\S-1-5-21-444939835-3135395253-820421808-1001\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.gboxapp.com/?aff=p HKU\S-1-5-21-444939835-3135395253-820421808-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.sweet-page.com/?type=hp&ts=1396849159&from=sof&uid=TOSHIBAXMQ01ABD050_63HMT2NJTXX63HMT2NJT HKU\S-1-5-21-444939835-3135395253-820421808-1001\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.delta-homes.com/web/?type=ds&ts=1402574899&from=wpm0612&uid=TOSHIBAXMQ01ABD050_63HMT2NJTXX63HMT2NJT&q={searchTerms} URLSearchHook: HKLM-x32 - Default Value = {CCC7B159-1D8C-11E3-B2AD-F3EF3D58318D} URLSearchHook: HKLM-x32 - SiteFinder - {CCC7B159-1D8C-11E3-B2AD-F3EF3D58318D} - C:\Program Files (x86)\SiteFinder\SiteFinder.dll (Site Finder) SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.sweet-page.com/web/?type=ds&ts=1396849159&from=sof&uid=TOSHIBAXMQ01ABD050_63HMT2NJTXX63HMT2NJT&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.sweet-page.com/web/?type=ds&ts=1396849159&from=sof&uid=TOSHIBAXMQ01ABD050_63HMT2NJTXX63HMT2NJT&q={searchTerms} SearchScopes: HKLM -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2476} URL = http://www.default-search.net/search?sid=476&aid=132&itype=a&ver=13765&tm=299&src=ds&p={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.sweet-page.com/web/?type=ds&ts=1396849159&from=sof&uid=TOSHIBAXMQ01ABD050_63HMT2NJTXX63HMT2NJT&q={searchTerms} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.sweet-page.com/web/?type=ds&ts=1396849159&from=sof&uid=TOSHIBAXMQ01ABD050_63HMT2NJTXX63HMT2NJT&q={searchTerms} SearchScopes: HKLM-x32 -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2476} URL = http://www.default-search.net/search?sid=476&aid=132&itype=a&ver=13765&tm=299&src=ds&p={searchTerms} SearchScopes: HKU\S-1-5-21-444939835-3135395253-820421808-1001 -> DefaultScope {7044103A-03FC-4C29-A24E-18CE9315C759} URL = http://rts.dsrlte.com/?q={searchTerms}&r=531 SearchScopes: HKU\S-1-5-21-444939835-3135395253-820421808-1001 -> {7044103A-03FC-4C29-A24E-18CE9315C759} URL = http://rts.dsrlte.com/?q={searchTerms}&r=531 SearchScopes: HKU\S-1-5-21-444939835-3135395253-820421808-1001 -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2476} URL = http://www.default-search.net/search?sid=476&aid=132&itype=a&ver=13765&tm=299&src=ds&p={searchTerms} BHO: Skype Click to Call for Internet Explorer -> {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} -> C:\Program Files (x86)\Skype\Toolbars\Internet Explorer x64\skypeieplugin.dll No File BHO-x32: MSS+ Identifier -> {0E8A89AD-95D7-40EB-8D9D-083EF7066A01} -> C:\Program Files\McAfee Security Scan\3.8.150\McAfeeMSS_IE.dll (McAfee, Inc.) BHO-x32: Skype Click to Call for Internet Explorer -> {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} -> C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll No File Toolbar: HKLM-x32 - SiteFinder - {CCC7B159-1D8C-11E3-B2AD-F3EF3D58318D} - C:\Program Files (x86)\SiteFinder\SiteFinder.dll (Site Finder) Handler: skypec2c - {91774881-D725-4E58-B298-07617B9B86A8} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll No File StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://www.sweet-page.com/?type=sc&ts=1396849159&from=sof&uid=TOSHIBAXMQ01ABD050_63HMT2NJTXX63HMT2NJT FF Plugin-x32: @tools.google.com/Google Update;version=3 -> C:\Program Files (x86)\Google\Update\1.3.24.7\npGoogleUpdate3.dll (Google Inc.) FF Plugin-x32: @tools.google.com/Google Update;version=9 -> C:\Program Files (x86)\Google\Update\1.3.24.7\npGoogleUpdate3.dll (Google Inc.) FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\default-search.xml FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\sweet-page.xml FF HKLM-x32\...\Firefox\Extensions: [quick_start@gmail.com] - C:\Users\Tomek\AppData\Roaming\Mozilla\Firefox\Profiles\gzn5os3x.default\extensions\quick_start@gmail.com FF HKLM-x32\...\Firefox\Extensions: [faststartff@gmail.com] - C:\Users\Tomek\AppData\Roaming\Mozilla\Firefox\Profiles\gzn5os3x.default\extensions\faststartff@gmail.com FF HKLM-x32\...\Firefox\Extensions: [shortcutff@gmail.com] - C:\Users\Tomek\AppData\Roaming\Mozilla\Firefox\Profiles\gzn5os3x.default\extensions\shortcutff@gmail.com FF HKU\S-1-5-21-444939835-3135395253-820421808-1001\...\Firefox\Extensions: [{e4f94d1e-2f53-401e-8885-681602c0ddd8}] - C:\ProgramData\McAfee Security Scan\Extensions\{e4f94d1e-2f53-401e-8885-681602c0ddd8}.xpi Task: {0079F8E4-74EF-4216-A340-ED0787FE4FEA} - System32\Tasks\GoogleUpdateTaskMachineCore => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe Task: {34019F4A-152E-48CF-99B5-71DBC1314C1C} - System32\Tasks\{44D51695-1F66-4A48-9AF1-2CD033A9A841} => Firefox.exe http://www.skype.com/go/downloading?source=lightinstaller&ver=6.11.0.102&LastError=12002 Task: {373E7757-BF2F-43A6-A487-75CB2F8F4AF2} - System32\Tasks\Yahoo! Search => C:\Users\Tomek\AppData\Local\Pay-By-Ads\Yahoo! Search\1.3.8.2\dsrlte.exe Task: {4531397B-238C-4BA8-BB0B-0D0523A57AFC} - System32\Tasks\GoogleUpdateTaskMachineUA => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe Task: {868580AB-0968-4604-8B42-4BB6F5610E57} - System32\Tasks\Optimizer Pro Schedule => C:\Program Files (x86)\Optimizer Pro\OptProLauncher.exe Task: {A065307D-30FC-429D-912B-B77B57CB15C5} - System32\Tasks\PennyBee => C:\Users\karolina\AppData\Roaming\PennyBee\UPDATE~1\UPDATE~1.EXE Task: C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe Task: C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe Task: C:\Windows\Tasks\PennyBee.job => C:\Users\karolina\AppData\Roaming\PennyBee\UPDATE~1\UPDATE~1.EXE S3 McComponentHostService; C:\Program Files\McAfee Security Scan\3.8.150\McCHSvc.exe [289256 2014-04-09] (McAfee, Inc.) S1 MpKsla808b24a; C:\Windows\system32\MpEngineStore\MpKsla808b24a.sys [45352 2015-01-16] () [File not signed] BootExecute: autocheck autochk * C:\Program Files (x86)\Google C:\Program Files (x86)\Optimizer Pro C:\Program Files (x86)\Settings Manager C:\Program Files (x86)\SiteFinder C:\Users\Tomek\AppData\Local\Google C:\Users\Tomek\AppData\Local\Pay-By-Ads C:\Windows\pss\McAfee Security Scan Plus.lnk.CommonStartup C:\Windows\system32\MpEngineStore Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKLM\SOFTWARE\Google /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Search" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\Search" /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Search" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^McAfee Security Scan Plus.lnk" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Tiny download manager" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Yahoo! Search" /f CMD: sc config "Internet Manager. RunOuc" start= disabled CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a "C:\Program Files\Common Files" CMD: dir /a "C:\Program Files (x86)\Common Files" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\karolina\AppData\Local CMD: dir /a C:\Users\karolina\AppData\LocalLow CMD: dir /a C:\Users\karolina\AppData\Roaming CMD: dir /a C:\Users\Tomek\AppData\Local CMD: dir /a C:\Users\Tomek\AppData\LocalLow CMD: dir /a C:\Users\Tomek\AppData\Roaming CMD: dir /a C:\Users\weronika\AppData\Local CMD: dir /a C:\Users\weronika\AppData\LocalLow CMD: dir /a C:\Users\weronika\AppData\Roaming EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj / Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. 4. Jest tu wiele kont: ==================== Accounts: ============================= karolina (S-1-5-21-444939835-3135395253-820421808-1005 - Limited - Enabled) => C:\Users\karolina Tomek (S-1-5-21-444939835-3135395253-820421808-1001 - Administrator - Enabled) => C:\Users\Tomek weronika (S-1-5-21-444939835-3135395253-820421808-1004 - Administrator - Enabled) => C:\Users\weronika Wymagane sprawdzenie każdego z osobna. Zaloguj się po kolei na każde poprzez pełny restart komputera a nie opcje Wyloguj / Przełącz użytkownika, na każdym zrób nowy log FRST z opcji Scan. Z każdego konta ma powstać para: główny FRST + Addition, natomiast na jednym z kont administracyjnych wystarczy utworzyć Shortcut tylko raz. Dodatkowa uwaga: na limitowanym koncie "karolina" FRST należy uruchomić przez dwuklik a nie opcją "Uruchom jako Administrator", by kontekst konta nie uległ zmianie. Dołącz też plik fixlog.txt. KOMPUTER 2: Czy na pewno problem nadal tu występuje? Czy było jakieś czyszczenie? Nic tu nie widać, żadnych oznak adware. Tylko kosmetyczne działania: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM-x32\...\Run: [] => [X] C:\END C:\Users\Tomek\AppData\Local\CrashRpt EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Pokaż ten plik. 2. Zlikwiduj błąd WMI numer 10 posługując się narzędziem Fix-it: KLIK.

W tej sytuacji reset opcji internetowych jest już oczywiście zbędny. Zastosuj DelFix. Dotacje: klikalny link w mojej sygnaturze kieruje do tematu z danymi. Dzięki!

Odinstalować, a po tym zainstalować najnowsze linkowane w przyklejonym: KLIK. Swoją drogą ta operacja była zadana przed wykonaniem skryptu, gdyż skrypt miał komendę czyszczenia Tempów (objęłaby pliki stworzone przez ten proces). Obecnie zmieniłeś kolejność, co ma też wpływ na to, że w nowym raporcie FRST nie można ocenić czy reinstalacja się odbyła. Z tym, że to nie ma akurat znaczenia, gdyż: Nic w ogóle nie wykonane. Otwórz plik Fixlog i porównaj z moim postem. Wszystkie linie sklejone i nie zostały zinterpretowane jako polecenia. Do powtórzenia punkty 1 do 4. Plik Fixlist musi wyglądać jak w moim poście i mieć poprawne przejścia do nowej linii.

Proxy zostało usunięte. Możesz też spróbować zresetować ustawienia IE: Opcje internetowe > Zaawansowane > Resetuj. Czy na pewno otworzyłeś plik Config.xml i go zapisałeś bez dokonywania żadnych zmian w pliku? U mnie był ten sam błąd "Nie można połączyć się z usługą" i ta drobna operacja rozwiązała sprawę.

Z jakim modelem karty mamy do czynienia oraz czy jest to komputer od konkretnego producenta? Wg Addition są tu zainstalowane następujące wersje ATI (stara, teraz to AMD) i Intel: ATI Catalyst Install Manager (HKLM\...\{DA0D8FDA-D538-1145-8BA2-6F22C4EB4F75}) (Version: 3.0.816.0 - ATI Technologies, Inc.) Intel® Display Audio Driver (HKLM-x32\...\{F0E3AD40-2BBD-4360-9C76-B9AC9A5886EA}) (Version: 6.14.00.3074 - Intel Corporation) A czy w ogóle jakiekolwiek BSODy się teraz pojawiają?

Możesz jeszcze dodatkowo wyłączyć inne programy ze startu. Uruchom Autoruns i odfajkuj następujące pozycje: - Karta Logon: Adobe ARM, DAEMON Tools Lite, GrooveMonitor, IAStorIcon, NvBackend, OnekeyStudio - Karta Services: Adobe ARM, c2cautoupdatesvc, c2cpnrsvc, GfExperienceService, NvNetworkService, NvStreamSvc, RichVideo64 - Karta Scheduled Tasks: Lenovo Experience Improvement, Maxthon Update PDVDServ Task Zresetuj system i podaj czy są jakieś wyraźniejsze zmiany. Potem możesz go spróbować przeinstalować. Nie jest wykluczone, że była to jakaś czkawka i po świeżej instalacji nie będzie problemu.

Mam silne wątpliwości czy to na pewno fałszywe alarmy. Skaner wykrył w przeważającej części pliki typu "instalatory", ich nazwy są mocno podejrzane (powtórzona nazwa programu jako nazwa pliku) - o ile to nie Twoja osobista maniera zmiany nazw plików instalacyjnych. Nazwy zagrożeń insynuują zintegrowane w instalatorze adware/sponsora, a nawet że niektóre pliki to nie instalatory zasadnicze lecz "downloadery" mające je dopiero pobrać. InstallCore to nic dobrego, to jest sponsoringowa platforma orientowana na podsuwanie ofert, platformę tę mogą używać instalatory zasadnicze oraz downloadery. Na dokładniejsze przejrzenie wyników potrzebuję czasu. Natomiast ten "keylogger" to jest zgodne ze stanem faktycznym - program Personal Monitor 2014 jest keyloggerem, a to że jest instalowany celowo to inna sprawa. Wystarczy z jednego Firefoxa, pewnie i tak dzielą ten sam profil na dysku. Daj mi czas na porównanie listy rozszerzeń z raportem, gruba lista. Fix FRST wykonany pomyślnie.